GDPR and Data Privacy Subject Access Request (SAR) template

Lets’ play and use our rights as citizen …  [French version below]

Here is a sample letter I will sent to my Bank(s), Insurance(s), Retails, Commercial relations, Companies I’m working with (because it is like a Pentest or a Drill), main vendors to test their involvement in regard of the GDPR. I will do it because I’m an Information Security specialist, Data Privacy Officer, but my main concern is as a European customer.

Article 15 of GDPR outlines what a Subject Access Request (SAR)is and how business needs to react and how to comply with them. If your organisation is collecting data on EU citizens there is a high possibility that you will start to see a steady flow of SAR’s coming into your inbox. This will impact your business in a multitude of ways.

<Feel free to comment an to propose translation or improvements – French version will follow>

Enjoy.

Replace <NAME> – <COMPANY> – <YOUR COUNTRY> with the correct values.


  • Your First Name,
  • Last Name,
  • Address,
  • Tel. number
  • E-mail

 

Dear <NAME>;

As an European customer and data subject, I wish to make an access request under Section 4 of the Data Protection Acts 1988 and 2003, and the upcoming GDPR for a copy of any information you keep about me, on computer or in manual form in relation to my information, including information stored on your 3rd parties and data processors.

It may be helpful for you to know that a request for information under the Data Protection Act 1998 should be responded to within 40 days. To comply with Article 15 of the GDPR you have 30 days to respond to the data subject answering in detail where their data has been stored on your network.

If you need any more information from me, or a fee, please let me know as soon as possible.

In detail

According to my right as a European citizen, a customer and a data subject under the empire of the General Data Protection Regulation (GDPR), I would like to formally request your organisation :

  1. to identify itself[1],
  2. to acknowledge this message,
  3. to communicate me the official statementby which your organization attests they will protect my privacy[2] and
  4. to send me a relevant copy of all the information your organisation has got about me[3] as a persona[4].

Once I will have received it, I will be deciding whether I would like <COMPANY>:

  1. to offer me to update the stored personal information related to my profile
  2. to delete all my records[5] from the marketing database and
  3. to send me a confirmation of it with the proof of (secure) erasure.

In case of no answer

In case you wouldn’t answer this message[6] in the right timeframe[7], I am afraid I will have to escalate this:

  1. to your hierarchy, and furthermore,
  2. to your Data Privacy Officer, if you have one,
  3. <OPTIONAL if related to agressive marketing or practice> to the DPA in <YOUR COUNTRY> because it seems your company is registered in that country and that GDPR is entirely applicable to your local regulation for privacy.

Thank you for your kind follow up.

Kind regards,


  • Nom, Prénom,
  • Adresse,
  • Numéro de Tel.
  • E-mail

 

Cher <ENTREPRISE>;

En tant que consommateur européen et personne concernée par le traitement de mes données, je souhaite introduire une demande d’accès au titre de l’article 4 des lois de 1988 et 2003 sur la protection des données, ainsi que de la future loi GDPR, afin d’obtenir une copie de toute information que vous conserverez à mon sujet, que ce soit sous forme informatisée ou manuelle, en relation avec mes informations, y compris les informations m concernant stockées par vos sous-traitants et partenaires.

Il peut vous être utile de savoir qu’une demande d’information en vertu de la loi de 1998 sur la protection des données doit être traitée dans un délai de 40 jours. Pour se conformer à l’article 15 du GDPR, vous disposez d’un délai de 30 jours pour répondre à la personne concernée en donnant une réponse détaillée lorsque ses données ont été stockées sur votre réseau.

Si vous avez besoin de plus d’informations, ou si vous avez des frais, veuillez me contacter dès que possible.

En détail

Conformément à mon droit en tant que citoyen européen, client, consommateur et personne concernée dans le cadre du règlement général sur la protection des données (RGPD / GDPR), je voudrais demander formellement à votre organisation :

  1. De m’identifier [1],
  2. D’accuser réception de ce message,
  3. De me communiquer la déclaration officielle par laquelle votre organisation atteste qu’elle protégera ma vie privée [2] et
  4. De m’envoyer une copie pertinente de toutes les informations dont votre organisation dispose à mon sujet [3] en tant que donnée à caractère personnel [4].

Une fois que j’aurai reçu l’information, je déciderai si j’ai besoin de votre aide afin de :

  1. mettre à jour les informations personnelles stockées en rapport avec mon profil
  2. supprimer tous mes enregistrements [5] de la base de données marketing et
  3. de m’en faire parvenir une confirmation avec la preuve de l’effacement (sécurisé).

En cas d’absence de réponse

Dans le cas où vous ne répondriez pas à ce message [6] dans le bon délai [7], je crains que je ne doive remonter ce message :

  1. à votre hiérarchie, et de plus,
  2. à votre responsable de la protection des données, si vous en avez un,
  3. <FACULTATIF si lié au marketing ou à la pratique agressive> a l’Autorité de Protection des Données.

Merci de votre aimable suivi.

Cordialement


[1] according to GDPR – Rec.58, 60; Art.13-14

[2] according to GDPR – Rec.39, 58, 60; Art.5[1][a], 12-14 and Rec.59; Art.12[2]

[3] according to GDPR – Rec.63; Art.15 and under the conditions expressed in Rec. 59; Art.12(5), 15[3], [4] and according to Rec.68, 73; Art.20 as well

[4] personal data, in the meaning they have in the GDPR, of course

[5] according to GDPR – Rec.65-66, 68; Art.17

[6] in infringement with GDPR – Art.13[2][b], 14[2], 15[1][e], 21[4]

[7] according to GDPR – Rec.59; Art.12[3]-[4]

Be the first to comment

Leave a Reply

Your email address will not be published.


*


*